Immagini Docker malevole e estensioni VS Code compromettono la catena di distribuzione di Checkmarx

Recenti avvisi di sicurezza hanno sollevato preoccupazioni riguardo a immagini Docker malevole presenti nel repository ufficiale “checkmarx/kics” su Docker Hub. La società di sicurezza informatica Socket ha reso noto che attori malevoli sono riusciti a manipolare le versioni di alcune immagini, aprendo potenziali vulnerabilità per le aziende che utilizzano queste risorse per la loro infrastruttura.

Le vulnerabilità nelle immagini Docker

Socket ha dichiarato che i criminali informatici hanno sovrascritto le etichette esistenti nel repository, come v2.1.20 e alpine, introducendo una nuova etichetta v2.1.21 non ufficiale. A seguito di questa scoperta, il repository ha subito un’archiviazione preventiva per garantire la sicurezza degli utenti. Analizzando l’immagine compromessa, gli esperti hanno scoperto che il binario KICS era stato modificato per includere funzionalità di raccolta e esfiltrazione dati, non presenti nella versione originale.

Questa modifica è particolarmente allarmante, poiché il malware potrebbe creare report di scansione non censurati, criptarli e inoltrarli a un endpoint esterno. Ciò rappresenta un grave rischio per i team che utilizzano KICS per scansionare file di infrastruttura-as-code, i quali potrebbero contenere credenziali sensibili o altre informazioni riservate.

Estensioni di Visual Studio Code compromesse

In aggiunta alle problematiche legate alle immagini Docker, Socket ha identificato rischi anche per particolari estensioni di Microsoft Visual Studio Code. Le versioni 1.17.0 e 1.19.0 di alcune di queste estensioni presentavano codice malevolo che consentiva di scaricare e eseguire un componente aggiuntivo remoto attraverso il runtime Bun. Fortunatamente, questa vulnerabilità è stata corretta nella versione 1.18.0.

Il codice malevolo si basava su un URL GitHub hardcoded, utilizzato per recuperare e lanciare JavaScript senza alcuna conferma da parte dell’utente o verifica dell’integrità, il che aumenta notevolmente il rischio per chi utilizza queste estensioni.

Impatti sulla sicurezza delle aziende italiane

Le aziende italiane che utilizzano KICS per scansionare configurazioni Terraform, CloudFormation o Kubernetes devono considerare qualsiasi segreto o credenziale esposta durante queste scansioni come potenzialmente compromessa. È essenziale che le organizzazioni reagiscano tempestivamente e implementino controlli di sicurezza per proteggere i propri dati.

Inoltre, il fatto che questa violazione non sembri un episodio isolato, ma parte di un attacco più ampio contro i canali di distribuzione di Checkmarx, dovrebbe rivelarsi un campanello d’allarme per gli utenti. Le misure preventive e di monitoraggio della sicurezza potrebbero ridurre l’impatto di future manomissioni.

Conclusione pratica

La recente scoperta di immagini Docker e estensioni di codice compromesse evidenzia la necessità di una maggiore vigilanza nel settore della tecnologia. Le aziende italiane devono intensificare gli sforzi per monitorare e proteggere le proprie risorse software, garantendo che i propri sistemi siano aggiornati e sicuri. I team di sviluppo sono esortati a esaminare attentamente le provenance delle dipendenze e a implementare pratiche di sicurezza robuste per mitigare i rischi associati a tali vulnerabilità.